Microsoft, Copilot Studio’da özel verilerin sızdırılmasına neden olabilecek kritik güvenlik hatasını yamaladı

Uzmanlar, Microsoft Copilot Studio’nun, tehdit aktörlerinin savunmasız uç noktalardan hassas verileri sızdırmasına izin verebilecek bir güvenlik sorunu olduğu konusunda uyardı.

Tenable’dan siber güvenlik araştırmacısı Evan Grant, sunucu tarafı istek sahteciliği (SSRF) saldırısından kaynaklanan bir bilgi ifşa hatası olarak tanımlanan ve 8,5 önem derecesiyle CVE-2024-38206 olarak izlenen güvenlik açığını buldu ve raporladı.

Copilot Studio, kullanıcıların doğal dil veya grafik arayüz kullanarak yardımcı pilotlar oluşturmalarını ve özelleştirmelerini sağlayan uçtan uca bir diyalogsal yapay zeka platformudur.

Microsoft hatayı yamaladı

Açığı tanımlayan Grant, harici web istekleri yaptığı bir Copilot özelliğini kötüye kullandığını söyledi.

Grant, “Kullanışlı bir SSRF koruma baypası ile birlikte bu açığı kullanarak Microsoft’un Copilot Studio için Instance Metadata Service (IMDS) ve dahili Cosmos DB örnekleri de dahil olmak üzere dahili altyapısına erişim sağladık” dedi.

Daha basit bir ifadeyle Grant, Copilot sohbet mesajlarındaki örnek meta verilerini çekti ve bunu yönetilen kimlik erişim belirteçlerini almak için kullandı. Bunlar da diğer dahili kaynakların yanı sıra Cosmos DB örneğindeki okuma/yazma özelliklerine erişmesini sağladı.

“Kimliği doğrulanmış bir saldırgan, Microsoft Copilot Studio’daki Sunucu Tarafı İstek Sahteciliği (SSRF) korumasını atlayarak hassas bilgileri bir ağ üzerinden sızdırabilir” diyen Microsoft, hatayı etkin bir şekilde kabul etti. Bununla birlikte, kullanıcıların yapması gereken hiçbir şey yoktur, hata Microsoft tarafında ele alınmaktadır.